Vol de données chez Desjardins: le suspect n’était qu’un pion
Notre Bureau d’enquête a réussi à rencontrer l’ex-employé de Desjardins soupçonné du vol d’infos personnelles
-
- Autres
Coup d'oeil sur cet article
L’ancien employé de Desjardins soupçonné d’avoir volé les données personnelles de 2,9 millions de clients se pose en victime. Il veut braquer les projecteurs sur des prêteurs privés et des financiers de Québec qui auraient acheté le butin pour mousser leurs affaires.
Sébastien Boulanger Dorval n’a pas touché d’argent comptant pour les données dérobées. Selon nos sources, les acheteurs l’ont plutôt payé avec quelques milliers de dollars... en cartes-cadeaux d’épicerie et des restaurants Saint-Hubert.
Après des jours de recherche, notre Bureau d’enquête et l’équipe de l’émission J.E. l’ont retrouvé dans le modeste appartement de sa conjointe, sur la Rive-Sud de Québec. Elle vient d’emménager dans le logement, pauvrement meublé et situé dans un vieux triplex.
À l’arrivée des journalistes, Boulanger Dorval se précipite dans une petite pièce adjacente à la cuisine. « Il n’a jamais voulu de mal à personne. Il n’a jamais voulu que ça, ça arrive », assure sa conjointe.
Puis, l’ancien spécialiste en marketing congédié par Desjardins finit par se montrer. Avec sa barbe de quelques jours et sa chevelure négligée, il affiche une mine défaite et se tient en retrait, dans l’embrasure d’une porte.
Il se dit « complètement démoli » par l’affaire. Sur les conseils de son avocat, il ne fait aucune déclaration sur l’enquête qui le vise.
« Tout va croche dans ma vie présentement », dit le père de famille.
Il n’exprime toutefois aucune pensée pour les 2,9 millions de personnes et d’entreprises victimes du vol de données confidentielles qu’il aurait commis.
« J’en ai marre »
Le couple voudrait que l’attention se porte sur une poignée d’hommes d’affaires qui profiteraient aujourd’hui des données.
« J’en ai marre que ça te tombe tout sur le dos, puis que les autres font comme si de rien n’était », lui dit sa compagne.
Méfiant, Boulanger Dorval se plaint d’avoir reçu des menaces de mort après la publication de son nom.
« C’est pour ça que je fais attention. Les gens qui viennent près de la maison, je les regarde. »
Une lettre de Desjardins à son attention traîne sur la table. Manque de fonds, chèques sans provision... l’entreprise est vraisemblablement sur son cas.
Plein accès aux données
Selon nos informations, le suspect n’a rien d’un pirate informatique. Il a pu facilement extraire les informations dérobées.
Après les avoir copiées sur au moins deux clés USB, Boulanger Dorval les aurait revendues à un ami qui faisait dans le prêt privé.
Il s’agit de Jean-Loup Leullier Masse, 27 ans. Dès le 6 juin, la police de Laval perquisitionnait d’ailleurs dans les bureaux de son entreprise, avenue de la Gare, à Montmagny. Les policiers l’ont ensuite interpellé le 19 septembre, comme 16 autres « sujets d’intérêt ». Il aurait refusé de collaborer, sur les conseils de son avocat.
Pour lui, ces renseignements valent de l’or : 2,9 millions de lignes présentant les informations bancaires de clients de Desjardins, leurs numéros d’assurance sociale et de téléphone, leur adresse, leur carte de crédit...
Une partie des informations serait ensuite passée à un deuxième prêteur privé, également courtier hypothécaire, et à son partenaire, conseiller en placement et en assurances. Selon le registre des entreprises, les deux associés détiennent un « cabinet de services financiers ».
La police les considère comme un suspect et un « sujet d’intérêt ».
Ils ont pu se servir des données pour cibler d’éventuels clients ayant une hypothèque à renouveler ou une carte de crédit à rembourser, par exemple.
Les deux individus ont pris leurs jambes à leur cou quand l’équipe de J.E. les a approchés. Aucun d’eux n’a accepté de s’expliquer, malgré nos multiples tentatives de les joindre et les messages laissés dans leurs boîtes vocales et celles de leurs proches.
Aucune accusation n’a encore été déposée en lien avec le pire cas connu de vol de renseignements personnels au Québec.
LA SAGA EN QUELQUES DATES
2017
Sébastien Boulanger Dorval commence à extraire des données du système de Desjardins et à les remettre à un ami prêteur privé, Jean-Loup Leullier Masse.
Décembre 2018
Desjardins détecte une transaction suspecte à Laval. La Sûreté du Québec réalise qu’elle est liée à un vol de données.
6 juin 2019
La police de Laval perquisitionne à Montmagny, dans les locaux des firmes de prêts privés de Jean-Loup Leullier Masse.
20 juin 2019
Desjardins annonce avoir été victime du vol des informations confidentielles de 2,9 millions de clients.
Septembre 2019
La Sûreté du Québec procède à une vague de perquisitions et interroge 17 « personnes d’intérêt » dans le cadre de son projet Portier consacré à la fuite.
De graves lacunes de sécurité dans les données
Le vol massif de données provoque un constat brutal chez Desjardins : la sécurité de l’information n’était pas à la hauteur.
Sébastien Boulanger Dorval, l’ex-employé soupçonné d’avoir dérobé les informations confidentielles de 2,9 millions de clients, était loin d’être le seul à pouvoir consulter ces renseignements. En fait, au moins une cinquantaine de ses collègues manipulaient ces données jusqu’au 20 juin dernier, a appris notre Bureau d’enquête.
« Il n’y avait pas d’alertes en place pour détecter les comportements louches », déplore une source au sein de l’institution financière, qui doit rester anonyme parce qu’elle n’a pas l’autorisation de parler.
Pas de piratage
Boulanger Dorval, un spécialiste en données de marché, n’a donc pas eu à « pirater » quoi que ce soit pour voler ces informations, selon notre informateur.
« C’était sa job de fouiller dans ces données pour générer des rapports et alimenter les gens de stratégies marketing. »
Desjardins nie cependant cette version des faits.
« L’employé à l’origine de la fuite de données n’avait pas les accès pour obtenir les informations qu’il a transmises à l’extérieur de l’organisation, il a dû utiliser un stratagème pour les obtenir », dit la porte-parole Chantal Corbeil, sans plus de précisions.
Les renseignements volés proviennent de l’« entrepôt de données » de Desjardins. À l’interne, les employés de l’institution financière l’appellent FMCDI. Il regroupe l’ensemble des bases de données des caisses : bancaires, placements, assurances...
Dès 2017
Boulanger Dorval s’y serait pris à trois fois pour télécharger les informations volées, de 2017 à décembre 2018. À deux reprises, il aurait d’abord dérobé quelques milliers de profils.
Finalement, Boulanger Dorval serait retourné dans l’entrepôt de données pour y siphonner les informations sur près de 3 millions de clients. Pour accéder à FMCDI, les employés utilisent le logiciel SAS Grid Manager. À l’époque des vols, Desjardins ne l’avait pas programmé pour permettre de savoir exactement ce que Boulanger Dorval aurait pu en extraire.
Le groupe financier a toutefois obtenu, le 27 mai, une ordonnance « Anton Piller » pour faire saisir chez lui les clés USB sur lesquelles sont stockées les données.
Cette procédure civile permet de mettre la main sur des éléments de preuve avant qu’ils ne soient détruits.
Le hic : la police, elle, n’a pas accès à cette preuve, placée sous scellé. Ça expliquerait en partie pourquoi Boulanger Dorval n’est toujours pas accusé.
Nouvelles mesures de sécurité
À partir de mai, Desjardins a mis en place de nouvelles mesures de sécurité. Le mouvement coopératif a notamment déployé le « Projet Blanc », qui resserre le nombre d’employés pouvant accéder à son entrepôt de données.
« Une initiative vient d’être lancée afin de journaliser tous les accès aux renseignements personnels d’un certain groupe de membres, comme les policiers et certaines personnes “sensibles”, ajoute la source. Le but étant de savoir qui a accédé à ces données. »
Les autorités craignent justement que des profils de juges, d’avocats, de policiers ou de ministres se soient retrouvés entre les mains du crime organisé.
Le PDG de Desjardins, Guy Cormier, n’avait « pas de temps » pour nos questions, selon le vice-président aux communications, Marc-Brian Chamberland.
Les suspects et personnes d’intérêt
Les informations sur 2,9 millions de clients volées à Desjardins seraient passées aux mains d’un prêteur privé douteux, avant d’aboutir dans les ordinateurs de petits financiers habitant des maisons cossues du quartier Cap-Rouge à Québec et de Lac-Beauport.
Plusieurs de ceux qui ont eu accès à ces renseignements personnels traînent un passé trouble. À ce jour, aucune accusation criminelle ne pèse contre eux dans le dossier Desjardins.
1. Le voleur allégué
Sébastien Boulanger Dorval (38 ans)
Tout a commencé avec ce spécialiste de la segmentation des marchés, un travail qui consiste à utiliser des bases de données pour faire du marketing.
Sébastien Boulanger Dorval est soupçonné d’avoir volé les données et de les avoir revendues à une connaissance, Jean-Loup Leullier Masse, un prêteur privé de Chaudière-Appalaches. Le prix ? Quelques milliers de dollars en cartes-cadeaux de supermarchés et de restaurants Saint-Hubert.
Boulanger Dorval lui aurait d’abord remis une première clé USB avec quelques milliers de profils, puis au moins une autre avec le reste des informations.
Les clés portaient les mentions « 1 de 3 » et « 2 de 3 », mais ni la police ni Desjardins n’en ont trouvé de troisième.
2. L’intermédiaire
Jean-Loup Leullier Masse (27 ans)
Ce prêteur privé est soupçonné d’avoir racheté une bonne partie des données qu’aurait volées Sébastien Boulanger Dorval à son employeur.
Jusqu’en juin, la compagnie à numéro de Leullier Masse était actionnaire de deux firmes d’avances d’argent à court terme : la Financière Blackstone et Solutia Finance, aussi connue sous le nom de Prêt Argent 500.
Blackstone a reçu l’an dernier un avis d’infraction de l’Office de la protection du consommateur pour une série de violations à la loi. Elle a notamment facturé des intérêts allant jusqu’à 467 % par an, largement au-dessus du taux de 60 % inscrit au Code criminel.
Son associé a rayé son entreprise des actionnaires le 14 juin dernier, soit huit jours après une perquisition qu’a menée la police de Laval dans leurs locaux de Montmagny, et six jours avant que Desjardins annonce avoir été victime du vol massif de données.
Les sites internet de ces firmes ont beau être fermés, Solutia était toujours en affaires fin septembre. Un de nos journalistes a joint son centre d’appels en prétendant être à la recherche d’un prêt à court terme. Impossible de connaître le montant des « frais administratifs » imposés aux clients.
3. Les points de chute
Mathieu Joncas (34 ans)
Ce courtier hypothécaire aurait obtenu une partie des données. Comme Leullier Masse, Joncas exploite une firme de prêts privés : Capital garanti.
La police a mené une perquisition à son domicile, le 18 septembre. Il a accepté de rencontrer les enquêteurs. Ils pensent qu’il a lui aussi utilisé les informations confidentielles de Desjardins pour approcher de nouveaux clients afin de leur proposer des produits financiers.
Comme Blackstone et Solutia, Capital garanti a fermé son site internet dans les derniers mois.
Joncas est aussi propriétaire des Centres hypothécaires Dominion Accès inc. En 2014, l’Organisme d’autoréglementation du courtage immobilier du Québec l’a d’ailleurs condamné à 3600 $ d’amendes pour avoir encouragé deux de ses employés à faire du courtage hypothécaire alors qu’ils n’avaient aucun permis pour le faire.
Joncas habite une maison à trois garages de plus de 1 million $ à Lac-Beauport. La demeure appartient à la Fiducie RMJ, dont il est bénéficiaire, tout comme un chalet à Saint-Aubert, dans Chaudière-Appalaches. Il détient aussi un immeuble à appartements dans le quartier Limoilou, à Québec.
François Baillargeon-Bouchard (30 ans)
Il est enregistré comme courtier en épargne et en assurance auprès de l’Autorité des marchés financiers.
Lui aussi est soupçonné d’avoir utilisé les données volées pour trouver des clients.
Baillargeon-Bouchard multiplie les liens financiers avec Mathieu Joncas. Ensemble, ils détiennent un cabinet de services financiers, Bouchard Joncas Investissement.
Baillargeon-Bouchard est enregistré comme fiduciaire de la Fiducie RMJ, qui détient les propriétés de Joncas.
Comme lui, il mène un grand train de vie et habite une luxueuse maison du secteur de Cap-Rouge, à Québec, évaluée à plus de 1 million $. Par le biais de sa société de gestion, il a aussi acquis, avec sa conjointe, pour près de 1,7 M$ d’immeubles dans la région de la capitale nationale.
Juan Pablo Serrano (33 ans)
La police se demande si cet amateur de cryptomonnaies aurait pu racheter une partie des données de Desjardins en passant par le dark web, cette partie cachée d’internet où se concentrent les transactions illicites.
Serrano traîne un lourd passé criminel. Il a purgé diverses peines, notamment pour falsification de cartes de crédit, entrave au travail d’un agent public, vol et fraude, dont une dernière condamnation à 90 jours de prison l’an dernier.
Contacté par notre Bureau d’enquête, Serrano raconte que la Sûreté du Québec l’a brutalement tiré du lit quand elle a perquisitionné dans son condo de Laval, en septembre.
« Ils m’ont réveillé avec le SWAT [groupe tactique d’intervention, lourdement armé] », dit-il.
Serrano assure ignorer ce que la police cherchait.
« Ils ont pris les choses électroniques qui pouvaient être chez moi. »
En entrevue, il refuse de révéler ce qu’il sait de l’enquête, mais dit s’interroger sur la négligence de Desjardins dans cette fuite.
« J’essaie de comprendre un peu le rôle d’une institution qui protège mal [ses données], ou qui a un employé malveillant... L’employé traîne un lingot d’or dans la rue... Qui a touché au lingot d’or ? [...] La responsabilité revient à qui ? »
Après les perquisitions de septembre, son nom est sorti dans les médias et il dit aujourd’hui craindre pour la sécurité de sa famille.
« En ce moment, mes enfants sont à risque, parce qu’on ne parle pas d’une nouvelle qui peut affecter 10 personnes dans une organisation. On parle de la majorité de la société québécoise. »
